El actor de amenaza vinculado a China conocido como UNC5174 se ha atribuido a una nueva campaña que aprovecha una variante de un malware conocido denominado Snowlight y una nueva herramienta de código abierto llamada Vshell para infectar a los sistemas Linux.
“Los actores de amenaza están utilizando cada vez más herramientas de código abierto en sus arsenales para la rentabilidad y la ofuscación para ahorrar dinero y, en este caso, se mezclan plausiblemente con el grupo de adversarios no patrocinados y a menudo menos técnicos (por ejemplo, guiones de guiones), lo que hace que la atribución sea aún más difícil”, el investigador de sysdig alessandra rizzo rizzo rizzo rizzo rizzo rizzo) dicho En un informe compartido con The Hacker News.
“Esto parece ser especialmente cierto para este particular actor de amenazaque ha estado bajo el radar durante el último año desde que estuvo afiliado al gobierno chino “.
UNC5174, también conocido como Uteus (o UETUS), fue previamente documentado por Mandiant, propiedad de Google, como fallas de seguridad de explotación en Connectwise ScreenConnect y F5 Big-IP Software para entregar un descargador de elfo basado en C llamado Snowly, que está diseñado para obtener un Túneler de Golang Dubbed Goheavy de Infrastructure Canded a un comando disponible en público. Supershell.
También se desplegó en los ataques Goreverse, una puerta trasera de Shell Inverse de Shell disponible públicamente escrita en Golang que funciona a través de Secure Shell (SSH).
La Agencia Nacional Francesa para la Seguridad de los Sistemas de Información (ANSSI), en su Informe de descripción general de amenazas cibernéticas Para 2024 publicado el mes pasado, dijo que observó a un atacante que emplea una tradicción similar a la de UNC5174 para armarse fallas de seguridad en el dispositivo de servicio en la nube Ivanti (CSA), como CVE-2024-8963, CVE-2024-9380 y CVE-2024-8190 para obtener el control y el código arbitrario.
“Moderadamente sofisticado y discreto, este conjunto de intrusiones se caracteriza por el uso de herramientas de intrusión en gran medida disponibles como código abierto y por el uso de un código RootKit”, ya informado públicamente, “, dijo el ANSSI.
Vale la pena señalar que tanto la luz contra la nieve como las vshell son capaces de dirigido a los sistemas de Apple MacOScon este último distribuido como una aplicación de autenticador falso de CloudFlare como parte de una cadena de ataque aún no detectada, según una Análisis de artefactos Subido a Virustotal desde China en octubre de 2024.
En la cadena de ataque observada por Sysdig a fines de enero de 2025, el malware de la luz de nieve actúa como un gotero para una carga útil en memoria sin archivo llamada Vshell, un troyano de acceso remoto (rata) ampliamente utilizado por los ciberdelincuentes de habla china. El vector de acceso inicial utilizado para el ataque se desconoce actualmente.
Específicamente, el acceso inicial se utiliza para ejecutar un script bash malicioso (“download_backd.sh”) que despliega dos binarios asociados con la linda (DNSLOGER) y Sliver (System_Worker), que se utilizan para configurar la persistencia y establecer comunicaciones con un servidor C2.
La etapa final del ataque ofrece Vshell a través de Snowlight por medio de una solicitud especialmente elaborada al servidor C2, lo que permite el control remoto y una mayor explotación posterior a la compromiso.
“[VShell] Actúa como una rata (troyano de acceso remoto), permitiendo a sus abusadores ejecutar comandos arbitrarios y descargar o cargar archivos “, dijo Rizzo.” Snowlight y Vshell representan un riesgo significativo para las organizaciones debido a sus técnicas sigilosas y sofisticadas “, dijo Sysdig.” Esto está evidenciado por el empleo de websockets para el comando y las controlas, así como también los pasos sin trampas, así como la carga de filtro de filtro “.” “.” “.
La divulgación se produce como Teamt5 reveló Que un grupo de piratería de China-Nexus probablemente explotó fallas de seguridad en los electrodomésticos Ivanti (CVE-2025-0282 y CVE-2025-22457) para obtener acceso inicial e implementar el malware Spawnchimera.
Los ataques, dijo la compañía de seguridad cibernética taiwanesa, se dirigieron a una multitud de sectores que abarcan casi 20 países diferentes, como Austria, Australia, Francia, España, Japón, Corea del Sur, Países Bajos, Singapur, Taiwán, Emiratos Árabes Unidos, Reino Unido y Estados Unidos.
Los hallazgos también cola de cola con acusaciones de China que la Agencia de Seguridad Nacional de los Estados Unidos (NSA) lanzado Los ataques cibernéticos “avanzados” durante los Juegos de Invierno Asiáticos en febrero, señalando los dedos a tres agentes de la NSA por ataques repetidos contra la infraestructura de información crítica de China, así como contra Huawei.
“En los Noveno Juegos de Invierno Asiáticos, el gobierno de los Estados Unidos realizó ataques cibernéticos sobre los sistemas de información de los Juegos y la Infraestructura de Información Crítica en Heilongjiang”, el portavoz del Ministerio de Relaciones Exteriores, Lin Jian dicho. “Este movimiento es atroz porque pone en peligro severamente la seguridad de la infraestructura de información crítica de China, la defensa nacional, las finanzas, la sociedad y la producción, así como la información personal de sus ciudadanos”.
About the Author
